- 일본정부는 2025년도 중에 중요 인프라와 정부 기관의 사이버 대책에서 시스템 개발 및 운영을 담당하는 IT 벤더와 고객 측의 역할 분담을 정하는 가이드라인을 마련 방침. 각자의 책임을 명확히 하고 민간 계약에도 명시하도록 촉구. 잇따르는 사이버 공격에 대한 대응력을 높이겠다는 생각.
- 4년 만에 새로운 ‘사이버 보안 전략'을 수립하고, 벤더 기업이 수행해야 할 책임을 명확히 한다고 명시. 가이드라인 초안을 마련해 연내 공개 의견 공모를 거쳐 확정할 예정.
- 시스템 및 소프트웨어 개발·공급·운영에 종사하는 IT 벤더와 고객 기업의 책임을 정리. 필요한 구체적 조치를 체크리스트로 작성해 공지할 계획.
- 지금까지 일본에는 IT 벤더의 책임을 규정한 규정은 없었음. 가이드라인은 불이행 기업에 벌칙을 두는 것은 아니나, 각사의 계약이나 과실 검증에 반영되는 효과를 예상.
- IT 벤더 측의 책임에 대해 (1)보안 품질을 확보한 소프트웨어의 설계·개발·공급·운영 (2)개발이나 공급 등 각 단계의 관계자 전원을 리스크 관리 대상에 포함 (3)잔존 취약점에 대한 신속한 대응 등 5개 항목을 명시.
- 고객 측에도 ’경영진의 리더십에 의한 리스크 관리와 소프트웨어 조달·운영‘이라는 책임을 부과. 전기, 수도, 철도, 통신 등 중요 인프라와 정부 기관 등이 대상. 서비스가 중단되면 국민 생활에 큰 영향을 미치기 때문.
- 사이버 공격은 고도화되고 교묘해지고 있어, 고객 기업의 노력만으로는 한계가 존재. 세계적으로 IT 벤더의 역할을 중시하는 흐름으로, 제품 기획 및 설계 단계부터 보안 확보를 중시하는 ‘Secure by Design’ 원칙이 확산되고 있음.
- ‘22년 미국은 IT 벤더 등을 대상으로 각 단계별 요구사항을 정리한 가이드라인을 발간. EU는 24년 사이버 레질리언스법을 발효시켜, 디지털 제품 설계 단계부터 대책을 의무화.
- 일본에서도 7월 개정 사이버 보안 기본법이 시행. IT 벤더에게 이용자 안전 확보에 필요한 지원을 할 노력 의무를 규정함.
- 일본기업을 대상으로 한 사이버 공격으로 인한 시스템 장애는 잇따라 발생. 9월 아사히그룹홀딩스, 10월 아스쿠루가 사이버 공격을 받아 아직도 일부 시스템이 복구되지 못하고 있음.
- 기업이 외부로부터 사이버 공격을 받았을 경우, 책임을 지고 IT 벤더가 해결금을 지급하는 사례도 증가. 지금까지 명확한 역할 분담은 규정되지 않았고, 계약상으로도 모호한 경우가 있었음. 정부의 표준 양식이 제시되면서 과실 소재를 보다 쉽게 판단할 수 있게 될 전망.